Weiter führt die RUAG im Wesentlichen aus, dass der verlangte Bericht Personendaten im Sinne von Art. 3 Bst. a DSG enthalte und daher das Bundesgesetz über den Datenschutz (DSG, SR 235.1) anwendbar sei, insbesondere der Grundsatz von Art. 4 Abs. 3 DSG, wonach Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Nach Ansicht der RUAG stelle die mit der Zugangsgewährung erfolgende Bekanntgabe von Personendaten eine widerrechtliche Persönlichkeitsverletzung dar, für die kein Rechtfertigungsgrund nach Art. 13 DSG vorliege.